sábado, 7 de junio de 2014

Descubierto nuevo fallo de seguridad en OpenSSL

Descubierto nuevo fallo de seguridad en OpenSSL

Un investigador ha descubierto una severa vulnerabilidad en la librería de cifrado OpenSSL, que permite a los atacantes descifrar y modificar webs, emails y redes privadas virtuales protegidas por la Capa de Conexión Segura, más conocida como TLS (Transport Layer Security), que es el método de cifrado más usado en las conexiones entre usuarios y servidores.
La fallo en TLS solo puede ser aprovechado cuando el tráfico es enviado a través de un servidor que utiliza OpenSSL 1.0.1 y1.0.2-beta1 y sus mantenedores lo avisaron el jueves, explicando que todos los servidores que usan una versión posterior a la 1.0.1 tendrían que actualizar los antes posible como precaución. Esta vulnerabilidad llega existiendo desde el primer lanzamiento de OpenSSL, hace ya dieciséis años. Formalmente conocida como CVE-2014-0224, fue descubierto por un desarrollador y fue reportado de forma privada a OpenSSL. El fallo hace posible que los atacantes pudiesen monitorizar una conexión entre un cliente y un servidor para forzar débiles claves criptográficas en los dispositivos clientes, falsificando la comunicación.
Al contrario de Heartbleed, que permitía atacar directamente al servidor, este nuevo fallo de seguridad solo puede ser aprovechado cuando el cliente y el servidor son vulnerables y estén realizando una comunicación, haciendo que los contextos más propicios para aprovehcar la vulnerabilidad son las redes poco seguras, como por ejemplo una WiFi pública.
Después del terremoto de Heartbleed OpenSSL vuelve a dar un disgusto a todo Internet y poniendo más en duda si cabe su fiabilidad, aunque ya se sabe que no hay software perfecto, cierto que este tipo de fallos pueden poner en riesgo las inversiones y el prestigio de muchas empresas.
Si tenéis algún servidor público a vuestro cargo os recomendamos que actualicéis lo antes posible.

Saludos.

No hay comentarios :

Publicar un comentario